Beleid voor service-eindpunten configureren (preview) voor Azure SQL Managed Instance
Van toepassing op:
Azure SQL Managed Instance
Met azure Storage-service-eindpuntbeleid voor virtuele netwerken (VNet) kunt u uitgaand netwerkverkeer naar Azure Storage filteren, waardoor gegevensoverdracht naar specifieke opslagaccounts wordt beperkt.
De mogelijkheid om uw eindpuntbeleid te configureren en te koppelen aan uw SQL Managed Instance is momenteel in preview.
Belangrijkste voordelen
Het configureren van azure Storage-service-eindpuntbeleid voor een virtueel netwerk voor uw Azure SQL Managed Instance biedt de volgende voordelen:
Verbeterde beveiliging voor verkeer van Azure SQL Managed Instance naar Azure Storage: eindpuntbeleid stelt een beveiligingsbeheer in dat onjuiste of schadelijke exfiltratie van bedrijfskritieke gegevens voorkomt. Verkeer kan worden beperkt tot alleen de opslagaccounts die voldoen aan uw vereisten voor gegevensbeheer.
Gedetailleerde controle over de toegang tot opslagaccounts: Beleidsregels voor service-eindpunten kunnen verkeer naar opslagaccounts op abonnements-, resourcegroep- en afzonderlijk opslagaccountniveau toestaan. Beheerders kunnen beleidsregels voor service-eindpunten gebruiken om naleving van de gegevensbeveiligingsarchitectuur van de organisatie in Azure af te dwingen.
Systeemverkeer blijft ongewijzigd: beleid voor service-eindpunten belemmert nooit de toegang tot opslag die vereist is om Azure SQL Managed Instance te laten functioneren. Dit omvat de opslag van back-ups, gegevensbestanden, transactielogboekbestanden en andere assets.
Belangrijk
Beleidsregels voor service-eindpunten beheren alleen verkeer dat afkomstig is van het subnet sql Managed Instance en wordt beëindigd in Azure Storage. Het beleid heeft bijvoorbeeld geen invloed op het exporteren van de database naar een on-premises BACPAC-bestand, Azure Data Factory-integratie, het verzamelen van diagnostische gegevens via Diagnostische instellingen van Azure of andere mechanismen voor gegevensextractie die niet rechtstreeks zijn gericht op Azure Storage.
Beperkingen
Het inschakelen van beleid voor service-eindpunten voor uw Azure SQL Managed Instance heeft de volgende beperkingen:
- In de preview-fase wordt het plaatsen van een service-eindpuntbeleid op een subnet bemoeid met de mogelijkheid van exemplaren in dat subnet om herstel naar een bepaald tijdstip (PITR) uit te voeren vanuit een exemplaar in een ander subnet. Een service-eindpuntbeleid voorkomt echter niet dat exemplaren in andere subnetten back-ups van dat subnet herstellen.
- In preview is deze functie beschikbaar in alle Azure-regio's waar SQL Managed Instance wordt ondersteund, met uitzondering van China - oost 2, China - noord 2, VS - centraal EUAP, VS - oost 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia en VS - west-centraal.
- De functie is alleen beschikbaar voor virtuele netwerken die zijn geïmplementeerd met behulp van het Azure Resource Manager-implementatiemodel.
- De functie is alleen beschikbaar in subnetten waarvoor service-eindpunten zijn ingeschakeld voor Azure Storage.
- Als u een service-eindpuntbeleid toewijst aan een service-eindpunt, wordt het eindpunt bijgewerkt van regionaal naar globaal bereik. Met andere woorden, al het verkeer naar Azure Storage gaat via het service-eindpunt, ongeacht de regio waarin het opslagaccount zich bevindt.
- Als u een opslagaccount toestaat, wordt automatisch toegang tot de SECUNDAIRe RA-GRS-account toegestaan.
Opslaginventaris voorbereiden
Voordat u service-eindpuntbeleid voor een subnet gaat configureren, moet u een lijst met opslagaccounts opstellen waartoe het beheerde exemplaar toegang moet hebben in dat subnet.
Hier volgt een lijst met werkstromen die mogelijk contact opnemen met Azure Storage:
- Controle naar Azure Storage.
- Het uitvoeren van een alleen-kopiëren back-up naar Azure Storage.
- Een database herstellen vanuit Azure Storage.
- Gegevens importeren met BULK INSERT of OPENROWSET (BULK ...).
- Uitgebreide gebeurtenissen vastleggen in een doel voor een gebeurtenisbestand in Azure Storage.
- Offlinemigratie van Azure DMS naar Azure SQL Managed Instance.
- Logboekherhalingsservicemigratie naar Azure SQL Managed Instance.
- Tabellen synchroniseren met transactionele replicatie.
Noteer de accountnaam, resourcegroep en het abonnement voor elk opslagaccount dat deelneemt aan deze of andere werkstromen die toegang hebben tot opslag.
Beleidsregels configureren
U moet eerst uw service-eindpuntbeleid maken en vervolgens het beleid koppelen aan het subnet van sql Managed Instance. Wijzig de werkstroom in deze sectie zodat deze aan uw zakelijke behoeften voldoet.
Notitie
- Voor subnetten van SQL Managed Instance moeten beleidsregels de alias /Services/Azure/ManagedInstance-service bevatten (zie stap 5).
- Beheerde exemplaren die zijn geïmplementeerd in een subnet dat al beleid voor service-eindpunten bevat, worden automatisch bijgewerkt naar de alias /Services/Azure/ManagedInstance-service.
Beleid voor service-eindpunten maken
Voer de volgende stappen uit om beleid voor service-eindpunten te maken:
Meld u aan bij de Azure Portal.
Selecteer + Een resource maken.
Voer in het zoekvenster beleid voor service-eindpunten in, selecteer beleid voor service-eindpunten en selecteer vervolgens Maken.
Vul de volgende waarden in op de pagina Basisbeginselen :
- Abonnement: Selecteer het abonnement voor uw beleid in de vervolgkeuzelijst.
- Resourcegroep: Selecteer de resourcegroep waarin uw beheerde exemplaar zich bevindt of selecteer Nieuwe maken en vul de naam in voor een nieuwe resourcegroep.
- Naam: Geef een naam op voor uw beleid, zoals mySEP.
- Locatie: Selecteer de regio van het virtuele netwerk dat als host fungeert voor het beheerde exemplaar.
Selecteer een alias toevoegen in beleidsdefinities en voer de volgende informatie in het deelvenster Een alias toevoegen in:
- Servicealias: Selecteer /Services/Azure/ManagedInstance.
- Selecteer Toevoegen om het toevoegen van de servicealias te voltooien.
Selecteer + Toevoegen onder Resources in beleidsdefinities en voer de volgende informatie in het deelvenster Een resource toevoegen in of selecteer deze:
- Service: Selecteer Microsoft.Storage.
- Bereik: Selecteer Alle accounts in abonnement.
- Abonnement: Selecteer een abonnement met de opslagaccounts die u wilt toestaan. Raadpleeg uw inventaris van Azure-opslagaccounts die u eerder hebt gemaakt.
- Selecteer Toevoegen om het toevoegen van de resource te voltooien.
- Herhaal deze stap om extra abonnementen toe te voegen.
Optioneel: u kunt tags configureren voor het beleid voor service-eindpunten onder Tags.
Selecteer Controleren + maken. Valideer de gegevens en selecteer Maken. Als u verdere wijzigingen wilt aanbrengen, selecteert u Vorige.
Fooi
Configureer eerst beleidsregels om toegang tot volledige abonnementen toe te staan. Valideer de configuratie door ervoor te zorgen dat alle werkstromen normaal werken. Configureer eventueel beleidsregels opnieuw om afzonderlijke opslagaccounts of accounts in een resourcegroep toe te staan. Hiervoor selecteert u Enkel account of Alle accounts in de resourcegroep in het veld Bereik: en vult u de andere velden dienovereenkomstig in.
Beleid koppelen aan subnet
Nadat uw beleid voor service-eindpunten is gemaakt, koppelt u het beleid aan het subnet van uw SQL Managed Instance.
Voer de volgende stappen uit om uw beleid te koppelen:
Zoek in het vak Alle services in Azure Portal naar virtuele netwerken. Selecteer Virtuele netwerken.
Zoek en selecteer het virtuele netwerk dat als host fungeert voor uw beheerde exemplaar.
Selecteer Subnetten en kies het subnet dat is toegewezen aan uw beheerde exemplaar. Voer de volgende informatie in het subnetvenster in:
- Services: Selecteer Microsoft.Storage. Als dit veld leeg is, moet u het service-eindpunt configureren voor Azure Storage in dit subnet.
- Beleid voor service-eindpunten: selecteer beleidsregels voor service-eindpunten die u wilt toepassen op het subnet van SQL Managed Instance.
Selecteer Opslaan om het configureren van het virtuele netwerk te voltooien.
Waarschuwing
Als het beleid voor dit subnet niet over de /Services/Azure/ManagedInstance alias beschikt, ziet u mogelijk de volgende fout: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions U kunt dit oplossen door alle beleidsregels op het subnet bij te werken om de /Services/Azure/ManagedInstance alias op te nemen.
Volgende stappen
- Meer informatie over het beveiligen van uw Azure Storage-accounts.
- Meer informatie over de beveiligingsmogelijkheden van SQL Managed Instance.
- Verken de connectiviteitsarchitectuur van SQL Managed Instance.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor